SIL 第 2 部分:结构限制
为了实现 SIL,安全功能的设计必须满足标准中概述的三个特定条件。本文将重点探讨条件 2:结构限制。
什么是功能安全?
功能安全是指主动检测潜在的危险情况,这要求我们通过某种保护机制或功能来防止或减少可能发生的危险事件的影响。
功能安全是受控设备 (EUC) 整体安全的组成部分,侧重于电子产品和相关软件方面。
IEC 61508是“功能安全或电气/电子/可编程电子安全相关系统”的国际标准。作为功能安全的总体标准,该标准是许多行业特定衍生标准的基础,例如适用于过程行业的 IEC 61511。
这些标准遵循安全生命周期模型,能够规范功能安全管理,并提供各种安全仪表系统 (SIS) 和相关安全仪表功能 (SIF) 的设计措施和技术。
IEC 61511 安全生命周期
安全生命周期的一个关键要素是创建安全要求规范 (SRS)。该文档通常基于生命周期的危害和风险评估阶段所发现的信息而编制,是安全系统设计功能性、完整性和验证性的蓝图。
SIL 是什么?
安全要求规范将记录安全系统设计所需的任何剩余风险降低水平,并指定相应的 SIL 目标级别。
SIL(安全完整性等级)即安全功能提供的相对风险降低水平。行业定义了四个独立 SIL 级别 (1-4),其中 SIL 4 可提供最高级别的安全完整性和相应的风险降低因子。
SIL | 风险降低因子 — RRF |
4 | > 10.000 至 ≤ 100.000 |
3 | > 1.000 至 ≤ 10.000 |
2 | > 100 至 ≤ 1.000 |
1 | >10 至 ≤ 100 |
如何实现特定的 SIL?
为了实现 SIL,安全功能的设计必须满足标准中概述的三个特定条件。
这些严格条件分别是:随机硬件完整性、结构限制和系统性能力。
本文将重点探讨条件 2:结构限制。如需详细了解随机硬件完整性和系统性能力,请点击相应的链接。
PR electronics 提供一系列经 SIL 认证的设备,能够全面满足各种 SIL 应用的需求。
什么是结构限制?
准确、可靠地获取电气/电子和可编程电子设备的故障率数据是一项历史性难题。由于现场故障的衡量和报告方法不一致,加上制造商提供的故障率数据往往过于乐观,人们根据这些假设得出的设计在适当性和安全方面通常有所欠缺。
为了抵消这个问题,功能安全标准根据所需的 SIL 级别提出了结构限制。也就是使用硬件故障裕度 (HFT) 来弥补声称的故障率,从而增强安全系统设计的完整性。
硬件故障裕度即通过添加冗余元素来允许发生一定程度的故障,例如 1oo1 = HFT0、1oo2 = HFT1。
最新版本的 IEC 61511 针对满足安全功能的结构限制提出了 3 种途径:
- IEC 61508 途径 1H
- IEC 61508 途径 2H
- IEC 61511 第 11 条下的 11.4.5-11.4.9(派生自 IEC 61508 途径 2H)
IEC 61508 途径 1H
此途径主要适用于没有历史数据的新设备。所需的硬件故障裕度将根据设备类型和安全失效分数进行计算。
根据行业定义,所有设备均可归类为 A 型和 B 型 2 种类型。A 型设备指那些故障模式已广为人知的简单设备,而 B 型设备是指那些通常包含微处理器/软件的复杂设备。
安全失效分数 (SFF) 即安全失效率和可检测的危险失效率占总失效率的百分比。
摘自标准的下表显示了不同目标 SIL 时的最小硬件故障裕度。
IEC 61508 途径 1H 表
IEC 61511 v IEC 61508 途径 2H
有关结构限制的 IEC 61511 表是根据 IEC 61508 途径 2H 方法而得出。
IEC 61511 — 不同 SIL 时的 HFT 要求
IEC 61508 (-2010) 第二版中新增的途径 2H 要求根据历史现场可靠性数据的质量来确定硬件故障裕度。
IEC 61508 规定,所使用数据的质量应基于在类似应用和环境中使用的设备的现场反馈,以及按照已发布标准(例如 IEC 60300-3-2 或 ISO 14224)收集的数据,并根据以下条件进行评估:
- 现场反馈的数量;以及
- 专家判断;以及在需要时
- 进行特定检验。
IEC 61508-2010 途径 2H 还要求所用的数据具有较高的置信度 (90%)。
IIEC 61511 第 11.4.9 条规定:“用于计算故障率的可靠性数据的统计置信度上限应不低于 70%。”
尽管 IEC 61508 途径 2H 和 IEC 61511 方法均可使用,但我们必须充分理解、记录并确认可供证实方法合理性的证据。
单单满足安全功能的结构限制并不表示已实现目标 SIL。我们还必须考虑随机硬件完整性和系统性能力。
IEC 61511 第 11.4.9 条规定:“用于计算故障率的可靠性数据的统计置信度上限应不低于 70%。”
尽管 IEC 61508 途径 2H 和 IEC 61511 方法均可使用,但我们必须充分理解、记录并确认可供证实方法合理性的证据。
单单满足安全功能的结构限制并不表示已实现目标 SIL。我们还必须考虑随机硬件完整性和系统性能力。